Personvern i offentlig forvaltning Gruppeundervisning 6 26./28. mars Jon Berge Holden Mona Naomi Lintvedt.

Presentasjon om: "Personvern i offentlig forvaltning Gruppeundervisning 6 26./28. mars Jon Berge Holden Mona Naomi Lintvedt."— Utskrift av presentasjonen:

1 Personvern i offentlig forvaltning Gruppeundervisning 6 26./28. mars Jon Berge Holden Mona Naomi Lintvedt

2 Dagens tema Informasjonssikkerhet og internkontroll – Hindre ulovlig behandling – Sikre at pliktene etter loven etterleves Eforvaltningsforskriften Fødselsnummer

3 Regelverk – internkontroll og sikkerhet Personopplysningsloven §§ 13 og 14 – Forskriften kapittel 2 og 3 Eforvaltningsforskriften, § 13 m.fl. Taushetsplikt, eks. fvl §13 Andre generelle regelverk – Beskyttelsesinstruksen, for statlig sektor Beskyttelsesinstruksen – Sikkerhetsloven & informasjonssikkerhetsforskriften Sikkerhetsloven informasjonssikkerhetsforskriften Sektorspesifikke regelverk

4 Personopplysningslovens krav til internkontroll&sikkerhet Fleksibelt, vagt – ”som er nødvendige”, § 14, “tilpasses virksomhetens størrelse”, pof § 3-1 – ”tilfredsstillende”, § 13 Tiltakene skal ”stå i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd”, pof § 2-1 Tiltak pålegges hvis ”er nødvendig”, pof §§ 2-11 til 2-13, dog: fnr i særstilling pof § 9-2 Prosesskrav - planmessig, systematisk – Risikovurdering, § 2-4, sikkerhetsrevisjon, § 2-5 Dokumentert – Sikkerhetssmål, -strategi, § 2-3, rutiner, § 2-16 mfl

5 Eforvaltningsforskriften Forankret i forvaltningsloven, e-signaturloven Bidra til sikker, enkel, effektiv e-forvaltning, § 1 – Universell utforming, brukervennlig, § 3(5) – Kan sette krav til henvendelser, § 4 – Særregel om bekreftelse, § 6, underretning, § 8 Veiledningsplikt, § 5, sml. fvl § 11 Sikkerhetskrav, sml pol § 13 og pof § 2-5, bl.a. – Sikkerhetsstrategi, § 13 – Krav til identitetskontroll ved klager, § 9, jf. forvl § 32 b) – Kryptering, signering (pki), § 5 (4), kap 4-6 Forskriften, med noteverk, veileder Forskriftenmed noteverkveileder

6 Risikovurdering Tiltak skal stå i stil med risiko, pof § 2-1 Risiko er – sannsynlighet x konsekvens Sannsynlighet: Letthet, motivasjon Konsekvenser Datatilsynets veileder TV 506:2002TV 506:2002 Generelt om risikostyring i staten (SSØ)risikostyring

7 Vurder sikkerhetsbehov Konfidensialitet, integritet, tilgjengelighet Systemer: – Løsøreregisteret – Elektronisk resept – Fastlegebytte – Lånekassen – Minside – Kommunens barnehagesøknader – Lagring av trafikkdata (ref. Datalagringsdirektivet) – Classfronter, vortex Ulike typer opplysninger – sensitive, taushetsbelagte Eks. Skatteetatens system for likning, omtalt i Innst.S.nr. 171 (2007- 2008) pkt. 3.1.2.1Innst.S.nr. 171 (2007- 2008)

8 Fødselsnummer o.l. Pol § 12 første ledd – “Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. “ PVN (fnr&fingeravtrykk) – Nei: 2002-7 (Norske spill as), 2003-6 (Rikstoto), 2006-8 og -9 (treningssenter), 2006-11 (Rema)2002-7 – Ja: 2006-7 (Tysvær), 2006-10 (Esso)

9 Mer info Datatilsynets veiledere – Veiledning og maler for internkontroll Veiledning og maler for internkontroll – Veiledninger mht. informasjonssikkerhet Veiledninger mht. informasjonssikkerhet

10 Aktuelle pv-saker (uavhengig av dagens tema) Utilsiktet bruk av bilder http://www.aftenposten.no/meninger/kommentarer/article2330736.ece DNA-register over potensielle kriminelle http://www.dagbladet.no/magasinet/2008/03/27/530697.html Fingeravtrykk ved reise http://www.vg.no/reise/artikkel.php?artid=504870 http://www.aftenposten.no/nyheter/uriks/article2110448.ece Fjernsynsovervåking NSB http://www.aftenposten.no/nyheter/iriks/article2325143.ece http://www.tu.no/it/article143942.ece http://www.personvernnemnda.no/vedtak/2005_13.htm Statens som Store mor http://www.morgenbladet.no/apps/pbcs.dll/article?AID=/20080229/OAKTUE LT001/426899671